2021年8月28日

 

中國最新通過的《個人資訊保護法》將於11月起開始生效。這項保護線上用戶隱私的新法，參考了歐洲《一般資料保護條例》的原則，對違規企業祭出史無前例的高額罰款，將可達5000萬人民幣(750萬美金)或該公司上年度營收的5%。

部分法、商界人士認為，此一新法展現了中國與國際慣例接軌出重拳保障中國公民資料隱私的決心。不過，部分維權和異議人士卻不以為然，他們稱，此一新法是個“笑話”，因為中共政權才是個人隱私的最大敵人，根本不可能靠公布一部新法就能向平臺或中共究責。

中國全國人大於8月20日所通過的《個人資訊保護法》，全文八大章、共74條條文，涵蓋了互聯網使用者之個人資訊或敏感性資料，從知情、授權、收集、處理到使用、甚至資料跨境出海的詳細規範。

 

中國隱私保護法全球最嚴？

新法一公布，包括華爾街日報等外媒都以中國通過“全球最嚴的”隱私保護法來形容之。不過，位於北京的瑞栢律師事務所律師李曉蓓在接受美國之音採訪時表示，中國的《個人資訊保護法》非常全面，和歐美國家所施行的相關隱私法一樣嚴格，也因為參考了歐盟的法規，所以，和《一般資料保護條例》有共通處，雖然也有中國特色的法條。

李曉蓓說：“從11月1號之後開始正式生效，這可以顯示出，未來中國對資料保護，尤其是企業、公司在它運營的過程中，對於消費者、個人資訊的保護是提出了一個更明確、更高的一個合規要求。”

據官媒人民網報導，《個人資訊保護法》和今年6月頒佈的《資料安全法》以及2017年通過的《網路安全法》建構起中國在數位時代之資訊安全上的一個法律保障體系，也成為中國互聯網監管的三大法規。

 

細化的《個人資訊保護法》

《個人資訊保護法》嚴格要求收集用戶個資的企業或互聯網平臺要尊重消費者的知情權，同時也要取得授權才能留存資料。不過，李曉蓓說，這些條件其實早在2017年6月生效的《網路安全法》就已規定，只不過新通過的《個人資訊保護法》與國際慣例全面接軌，更細化、也更具體。

她說：“相對於以前(2017年)的《網路安全法》的一大發展，就是說，它(《個人資訊保護法》)規定的內容更加地細化，有很多更明確的指導企業在具體操作的時候，怎麼樣從具體運營上面，做到那些要求，是更加地細化了。”

不過，李曉蓓說，中國在實施嚴格的《網路安全法》數年後，發現在商業的實務操作上，以消費者授權為基礎的個資收集原則出現了不少“不好操作”的地方。因此，《個人資訊保護法》給出了例外原則，希望在個人隱私之保護和數字經濟之發展間，取得平衡，這也是其和《網路安全法》及歐美國家的隱私法最大的不同處。

 

根據此例外原則，企業收集個人資料如果是建立在公共利益的性質上，如新冠疫情之防疫，或履行商業合同、新聞報導等之基礎上，根據新法，即便消費者沒有明確授權，也是可以收集的。例如，李律師說，新法允許旅行社為了安排出行計畫，可以收集消費者的護照或身分證資料，即便消費者未有明確授權。

 

例外原則恐成濫權破口

但這些例外會不會因此成為未來濫用個資和侵權的破口?

對此，李曉蓓說，有可能，但中國正在實踐中測試，並強化例外收集情況的合法性和保密性，以期找出平衡點和“典範經驗(best practice)”，來兼顧個人資訊的保護和數位經濟的發展。她說，這兩者的平衡是各國現今都面臨的挑戰，中國也不例外。

《個人資訊保護法》還祭出史上最高的罰款，分別是5000萬人民幣或企業上一個年度營收的5%。分析人士指出，這是一部有“牙齒”、具震攝效果的法律。

 

人民網引述中國政法大學副教授朱巍的看法指出：“如此高的違法成本，勢必會震懾不法侵害行為，減少互聯網技術的濫用。”

此外，《個人資訊保護法》第三章共六條條文還特別針對資料的跨境輸出做出規範，要求中國企業及外資企業在中國的分支必須通過“國家網信部門組織的安全評估”，才能提供資料出海。

 

跨境資料輸出

中國叫車平臺龍頭滴滴出行7月初可能就是因為未通過此類安全評估，才會突然在美國上市後，被中國監管單位要求下架app。而第三章條文也等同賦予權責部門，如網信部，“長臂管轄”的法源依據。